# !/usr/bin/env python3
# -*- coding: utf-8 -*-
"""
===========================
@Time : 2022/7/23 0023 17:09
@Author : 测试开发工程师
@File : 7. XSS漏洞.py
@Software: PyCharm
============================
"""

"""
XSS漏洞介绍与原理：
    跨站脚本： 是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。
    这类攻击通常包含 HTML 以及用户端脚本语言。

    XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击恶意制造的网页程序。
    这些恶意网页程序通常是指 JavaScript ，但实际上也可以包括 Java,VBScript,ActiveX,Flash或者甚至是普通的 HTML。攻击成功后，攻击者
    可能得到更高的权限（如执行一些操作），私密网页内容，会话和 cookie 等各种内容。


常见的攻击 payload： 
    ><script>alert(document.cookie)</script>
    ='<script>alert(document.cookie)</script>
    "><script>alert(document.cookie)</script>
    <script>alert(document.cookie)</script>
    <script>alert(vulnerable)</script>
    <script>alert('XSS')</script>
    <img src="javascript:alert('XSS')">
    
举例： 本地网站恶意执行一些 js 脚本
    seveniruby <script>alert("seveniruby")</script>

危害与防范：
    危害：危害网站上的其他用户，导致被动执行非预期网页脚本
    预防： 输入输出过滤，利用浏览器安全机制等
    检测： 可自动化发现
    
"""
